Es hat nicht lange gedauert, bis ich die API der Anbieter in der Hand hatte. Die war auch schön selbstdokumentierend, weil sie auf GraphQL aufbaut. Dann habe ich ein paar potenzielle Queries ausprobiert, und immer mehr Daten in der Hand gehabt, als ich hätte haben sollen. Dann hatte ich die ID von Usern und habe die bei Schnittstellen zu Drittanbietern ausprobiert. Nach mehreren Tagen hatte ich dann alle Daten. Im Endeffekt hatte sich weder bei Merkur noch bei deren Partner und Software-Provider jemand überlegt, wie eine sichere Architektur aussehen könnte. Es scheint, als hätten da immer andere Teams die Integration mit Drittanbietern oder für Zahlungsanbieter gebaut. Sonst hätte man gemerkt: “Oh, wir benutzen da die User-ID zur Authentifizierung, aber die geben wir ja an anderer Stelle auch aus.”
Autsch autsch autsch. Leider nix neues.
Es ist empörend dass die Verantwortlichen Betriebe kleinlaut 'tschuldigung sagen und sonst nichts. Das muss doch geahndet werden.
Im Artikel ist die GGL erwähnt, und Merkur. Ist der letztere ein deutscher Betrieb, und die ungenannten Drittanbieter?
Würde die Ahndung nicht über die DSGVO erfolgen? Ich dachte, wenn sensible Daten geleakt werden, springt die DSGVO ein und definiert eine Strafe.
Die ganzen schönen Vorschriften nützen nix, wenn sie niemand durchsetzt.
Hab’s heute morgen in einem anderen Post gesehen. Es ging zwar um Meta, aber:
Diese Vorwürfe erhebt die EU-Kommission (…)
Vermag die Replik nicht zu überzeugen, droht Alphabet eine Verfügung, seine Angebote zumindest im EWR an die rechtlichen Anforderungen anzupassen.
Vorwürfe und Verfügungen. Die 6% des Einkommens, wann werden die denn mal fällig? Obwohl ehrlich gesagt ist mir das Geld gar nicht so wichtig, Hauptsache der Laden wird dicht gemacht.
Na dann hoffen wir mal das Beste.
